[发明专利]一种基于工业防火墙的序列攻击检测实现方法

说明书

本发明公开了一种基于工业防火墙的序列攻击检测实现方法。方法包括首条指令到来，建立指令序列表，下一条指令到来，查指令序列表，根据命中情况，刷新指令序列表，后续指令到来，直到指令序列表为空或剩余一条指令序列。本发明优越效果是：能够应对日益精准的针对性攻击并显著提高了攻击成本且减少了工控系统停机。实现了序列攻击检测方法，任一序列非法指令都将被拦截、告警，使得工控系统中所有有序列关系的指令都将被规范运行在按序、合法状态，从而消除了工控系统因序列攻击或用户的误操作可能产生的危害。

技术领域

本发明属于工控安全技术领域，尤其涉及一种基于工业防火墙的序列攻击检测实现方法。

背景技术

目前，工业防火墙主要通过流量分析、特征库匹配、工控协议深度解析等安全防护技术来保障工业网络安全。申请号为201310453267.1的专利公开了一种防火墙自动防御分布式拒绝服务攻击的方法和装置，包括：对穿越和到达防火墙设备的数据流量进行流FLOW分析；根据FLOW分析的结果，若检测出符合某种分布式拒绝服务DDOS攻击类型的攻击特征，符合该攻击特征的数据流量为DDOS攻击流量，根据预先设置的DDOS攻击类型与防护安全策略之间的对应关系，自动生成拦截DDOS攻击流量的防护安全策略，并将生成的防护安全策略配置在防火墙设备上；响应于检测出符合某种DDOS攻击类型的攻击特征消失，从防火墙设备上删除拦截DDOS攻击流量的防护安全策略。申请号为201410104519.4的专利公开了一种防御HttpFlood攻击的方法，包括如下步骤：防火墙生成并维护挑战列表；防火墙与用户建立TCP连接，并判断接收到的来自用户的get报文的源IP地址是否存在于挑战列表内；如果防火墙接收到的get报文的源IP地址不存在于挑战列表内，则防火墙拦截get报文并根据get报文构建JavaScript重定向页面，以及将get报文的源IP地址、get请求页面地址、生成的JavaScript重定向页面地址作为一个条目加入到挑战列表；防火墙在检测到挑战列表中有条目在预设时长内未进行重定向访问时，将该条目的源IP地址加入黑名单列表以阻止源IP地址的后续流量。

基于工控协议的特点，工业防火墙厂商也开始关注将指令的序列检测作为一种安全防护手段。工控协议序列攻击是将合法的操作注入到序列不合法的位置上，迫使工控系统进入异常状态，损坏设备甚至破坏周边环境。比如燃气管道有两个开关S1,S2，攻击者通过完全关闭S1，开启S2的操作序列，导致管道内压强最大，产生危险。也就是同时开启S1、S2的指令次序没有问题，开启S1、关闭S2的次序异常就会产生问题。目前的工业防火墙指令序列攻击检测技术支持配置规则间没有相同指令的序列规则，甚至同一条规则内都没有重复的指令。

发明内容

本发明的目的在于提供一种能够克服上述技术问题的基于工业防火墙的序列攻击检测实现方法，本发明所述方法包括以下步骤：

步骤1，首条指令到来，建立指令序列表:

步骤1.1，遍历所有指令序列规则；

步骤1.2，如果第i条规则r[i]中没找到首指令，则跳过步骤1.3；

步骤1.3，将r[i]及首指令在第i条规则中的位置记录到指令序列表；

步骤1.4，重复步骤1.2、步骤1.3，将所有包含首指令的指令序列添加到指令序列表，形成最终的指令序列表。

步骤2，下一条指令到来，查指令序列表，根据命中情况，刷新指令序列表：

步骤2.1，遍历指令序列表中的每个序列；

步骤2.2，如果序列i的第pos+1位置是当前到来的指令，则将序列i保留在指令序列表，跳过步骤2.3；

步骤2.3，将序列从指令序列表中删除；

步骤2.4，重复步骤2.2、步骤2.3，完成当前指令对指令序列表的刷新操作。